RoseHA 9.0 for Windows维护手册_v2.0-2015-04

RoseHA 9.0 for Windows

维护手册

(v2.0)

2015-04

目录

一、RoseHA集群的部署要求 (1)

1.1 RoseHA集群的拓扑结构 (1)

1.2 RoseHA的私网心跳和公网配置 (1)

1.3 网络IP的配置方式 (2)

1.4 共享磁盘阵列的准备 (2)

1.5 操作系统配置 (3)

1.6 RoseHA双机部署的步骤 (3)

二、RoseHA基本操作 (4)

2.1 如何添加RoseHA的节点 (4)

2.2 查看版本信息 (4)

2.3 如何带入、带出、切换 (5)

2.4 离线功能 (6)

2.5 如何删除资源组 (6)

三、RoseHA界面、连线及图标含义 (6)

3.1 RoseHA管理工具主界面 (6)

3.2 RoseHA 服务器集群属性图标 (7)

3.3 RoseHA工具栏快捷操作工具图标 (8)

3.4 RoseHA群集资源状态图标 (8)

3.5 RoseHA资源组运行状态图标 (10)

四、RoseHA维护和管理 (11)

4.1 如何替换永久授权License (11)

4.2 日常维护中，重要的注意事项 (12)

4.3 如何获取现场的RoseHA配置和日志信息 (12)

4.4 RoseHA服务启动和停止 (13)

4.5 怎样更新业务系统、服务器移机？ (13)

4.6 资源配置完成后，怎么修改服务器的公网IP？ (15)

4.7 RoseHA中怎样启动/停止资源？ (17)

4.8 带入或切换卷资源失败的情况分析 (17)

4.9 带入主机别名资源失败 (18)

4.10 断电后开机顺序 (18)

4.11 清除错误标记 (18)

4.12 RoseHA为什么会自动切换资源？ (19)

4.13 维护群集系统时，需要暂停群集软件的管理和监控 (19)

4.14 手动执行切换资源操作，为什么切换失败？ (19)

4.15 群集关机顺序？ (20)

4.16 群集启动顺序？ (20)

4.17 如何配置系统自带的防火墙？ (20)

4.18 创建心跳线以后，心跳图标状态为error (23)

4.19 创建文件共享资源时，没有显示共享目录 (24)

4.20 RoseHA的高可用资源是否都需要配置 (24)

4.21 应用服务切换之后客户端访问不了虚拟IP (24)

五、常见问题 (25)

5.1 RoseHA的管理账户admin (25)

5.2 掉电后，共享卷未及时挂载？ (26)

5.3 更换服务器或重装操作系统后，如何同步配置？ (26)

5.4 仅能一台服务器联机共享磁盘，如何操作？ (26)

5.5 应用服务的资源类型 (26)

5.6 仲裁磁盘是否必须配置？ (26)

5.7 仲裁磁盘是否有大小限制？ (26)

5.8 RoseHA部署后，在上线前哪些验证操作？ (26)

5.9 RoseHA集群，什么情况下会进行切换? (27)

5.10 RoseHA部署环境是否需要域环境？ (27)

一、RoseHA集群的部署要求

1.1 RoseHA集群的拓扑结构

RoseHA集群环境的拓扑结构，如下图所示。

如上图所示，RoseHA集群硬件结构主要包括两台硬件服务器A和B，以及一台磁盘阵列。在磁盘阵列上，创建数据磁盘和仲裁磁盘，分别映射至两台服务器（详见1.4共享磁盘阵列的准备）。在两台服务器上，按照相同的安装配置方式部署相同版本的操作系统和应用服务，并将应用服务的数据存储至共享存储。

1.2 RoseHA的私网心跳和公网配置

RoseHA高可用集群至少需要配置2组直连心跳线，以防止心跳的单点故障，心跳线类型支持TCP/IP Socket类型和RS232类型，具体的接入方式说明如下。

1) 如果每台服务器有三片以上的物理网卡，则其中一片网卡连接交换机并用于配置集群的公网（应用服务客户端访问的网络）；其他两片网卡，两台服务器之间使用网线直连，配置两组冗余的私网心跳。如果物理条件允许，还可以再添加一条RS232串口心跳线，两台服务器之间直连，配置RS232类型心跳，以实现不同类型的心跳通信，提高心跳通信的可

靠性，推荐用户采用此配置方式。

2) 如果每台服务器仅有两片物理网卡，则其中一片网卡连接交换机并用于配置集群的公网，另一片网卡采用网线将两台服务器直连并配置为其中一条心跳；并且，必须再添加一条直连的RS232串口心跳线，以实现冗余的直连心跳。

3) 如果物理条件允许，建议每台服务器的公网网卡接入不同的网络交换机，以防止单个网络交换机故障导致整个集群不可用的情况发生。

【备注】如需要配置RS232类型的心跳线，需要准备RS232串口线并确保线路和串口能够正常通信。RS232串口心跳线做法：9pin的口，其中1-1，2-3，3-2，5-5，其余口可以不用接。

1.3 网络IP的配置方式

主机的IP必须是手动指定方式配置，不支持通过DHCP方式获取的IP，且同一台主机上每片网卡的IP需设置在不同网段。另，RoseHA 9.0最新版本支持IPV6协议。

1.4 共享磁盘阵列的准备

建议磁盘阵列创建2种类型的磁盘，其中1种磁盘作为存储应用数据的共享磁盘，另1种磁盘作为集群的仲裁磁盘。

存储应用数据的共享磁盘容量大小由应用数据容量而定。将应用数据共享磁盘分别映射至高可用集群的服务器节点，以用于存放应用服务数据文件并作为高可用集群的共享磁盘资源，确认各服务器节点分别可正常访问到共享数据磁盘分区。

【注意】共享磁盘分配的盘符未被其他分区或磁盘占用；取消操作系统启动时自动挂载应用数据共享磁盘的设置；同时仅能是一个服务器节点联机挂载共享磁盘。

集群仲裁磁盘的容量大小建议为2GB~100GB，且在Windows平台上必须为裸磁盘。为了提升高可用系统的稳定性和切换效率，建议配置仲裁磁盘资源。因此，磁盘阵列除了划分应用数据的共享磁盘，还需同时划分出大约2G~100GB容量的裸磁盘（不要创建分区和文件系统）作为仲裁磁盘，映射至高可用群集的服务器节点。

【重要说明】在配置应用数据共享磁盘和应用服务等过程中，两台主机不能同时挂载应用数据的共享磁盘，需在一台主机脱机卸载共享磁盘后，才能在另一台主机上联机挂载共享磁盘，以避免共享磁盘的数据和文件系统损坏。在操作和配置共享磁盘资源之前，请先备份应用数据。

在不同版本的操作系统上对于共享磁盘的操作方式不同，详细的操作方法说明如下： Windows 2008/2012系统：在A机的“磁盘管理”中，执行“联机”共享磁盘，创建分区并分配磁盘驱动器号。由于同时只能是一台主机“联机”共享磁盘，如需在B 机访问共享磁盘，则必须先在A机上卸载驱动器号，并把共享磁盘“脱机”后，才能在B机上执行“联机”，再分配磁盘驱动器号。

Windows 2003系统：在A机的“磁盘管理”中，给共享磁盘创建分区并分配驱动器号。由于同时只能是一台主机挂载共享磁盘的驱动器号。如需在B机访问共享磁盘，则必须先在A机上卸载驱动器号后，才能在B机上给共享磁盘分配驱动器号。

1.5 操作系统配置

两台服务器安装部署完全相同版本的操作系统，分别设置不同的主机名（比如：Server1、Server2）。RoseHA for Windows最新版本可以安装部署在Windows Server 2003/2008/2012的各个发行版本上。

1.6 RoseHA双机部署的步骤

分别在两台主机上部署应用，并将应用的数据存放在共享磁盘上。

①先在服务器A上“联机”共享磁盘，完成应用服务安装。

②在服务器A上，停止应用服务，将应用的相关服务启动类型更改为手动。

③重命名共享磁盘上的目录，在服务器A上“脱机”共享磁盘。

④在服务器B上“联机”共享磁盘，完成应用服务的安装。

⑤在服务器B上，停止应用服务，将应用的相关服务启动类型更改为手动。

⑥在服务器B上“脱机”共享磁盘；然后在服务器A上“联机”共享磁盘，确认应用服务是否能够正常启停。

分别在两台主机上手动测试应用服务是否能够正常启停和应用，并在服务管理中将应用相关服务的启动方式修改为手动，并停止服务。

安装RoseHA，创建应用服务的高可用资源，带入资源测试。

【注意】同时仅能是一个服务器节点联机挂载共享磁盘。

RoseHA 9.0 for Windows详细的部署安装步骤，请参阅RoseHA 9.0 for Windows快速安装文档和相应的应用服务配置文档。

二、RoseHA基本操作

2.1 如何添加RoseHA的节点

点击开始菜单在“程序”中选择“Cluster Control Center”启动管理配置工具。

如果要连接管理已创建好的群集，可点击“搜索群集”或者“连接群集服务”即可；

如果还没有创建过群集，点击连接群集窗口中“创建群集”按钮，将弹出创建服务器群集向导。（创建集群的步骤，详见配置文档）

2.2 查看版本信息

打开Rose软件控制中心，点击“帮助”—“关于”或者通过Windows控制面板，点击“添加或删除程序”。选中“RoseHA”，获取版本和支持信息。

2.3 如何带入、带出、切换

“带入”指RoseHA在活动主机启动应用服务资源（包括挂载卷、虚拟IP、RoseHA 所管理的应用程序），同时开始监控整个系统运行状况。带入的对象可以是某一个资源或整个资源组。

“带出”是指停止应用服务资源，并停止监控系统资源。带出的对象可以是某一个资源或整个资源组。

“切换”指让应用服务资源从一台主机切换到另一台主机。

“带入”、“带出”、“切换（转移）”操作如下图。

2.4 离线功能

以下情况，用户可以执行“离线”资源或资源组操作。

1、日常维护业务系统时，需要暂停RoseHA的管理和监控。

2、“更新/重启”RoseHA服务程序时，为了不影响业务系统的正常运行，先执行“离线”，然后“更新/重启”RoseHA服务程序。

2.5 如何删除资源组

“带出”资源组后，选中资源组，右键菜单中选择“删除”。（建议：在删除资源组之前，请先执行“带出”资源组操作）

三、RoseHA界面、连线及图标含义

3.1 RoseHA管理工具主界面

蓝色区域，显示主机、应用资源组以及网卡图标基本状态信息区域。

绿色区域，显示网卡组、磁盘组，资源、心跳状态等图标的具体信息区域。

红色区域，显示在线日志区域。

3.2 RoseHA 服务器集群属性图标

3.3 RoseHA工具栏快捷操作工具图标

3.4 RoseHA群集资源状态图标

3.5 RoseHA资源组运行状态图标

四、RoseHA维护和管理

4.1 如何替换永久授权License

1、在RoseHA管理界面中，登录服务器节点。

2、选中服务器节点，右键菜单中选择属性。进入服务器属性界面。如下图所示：

3、进入服务器属性界面以后，切换至注册码页面。对应主机hostid，将现有注册码替换成永久注册码License。点击“设置注册码”按钮，浏览加载对应主机的永久License文件。

【注意】替换永久License文件后，请检查“有效期”是否更换为永久，8个9“99999999”。

4.2 日常维护中，重要的注意事项

在日常维护管理集群中，需要特别注意“两台主机不能同时挂载应用数据的共享磁盘”，需在一台主机执行“脱机”卸载共享磁盘后，才能在另一台主机上“联机”挂载共享磁盘，以避免共享磁盘的数据和文件系统损坏。

并建议在操作和维护共享磁盘资源之前，请先备份共享磁盘上的数据。

4.3 如何获取现场的RoseHA配置和日志信息

打开“我的电脑”，进入RoseHA的程序目录，默认路径为C:\Program Files\Rose\Info\Cluster\，在该目录下，存在一个名为gatherinfo.exe的信息获取工具，双击执行gatherinfo.exe工具，该工具运行之后，会在该目录下生成一个文件名为“主机名.zip”的信息收集压缩包文件。

【注意】分别在RoseHA的两台服务器上做相同操作，以获取两台服务器的RoseHA

的配置和日志信息。

4.4 RoseHA服务启动和停止

RoseHA软件安装后，RoseHA服务将自动启动，可以通过“管理工具->服务器管理器->配置->服务”，查看以下3个服务。

Rose Cluster Client Service

Rose Cluster Service

Rose Monitor Service

如果需要停止RoseHA服务，先带出RoseHA中配置的所有资源组，然后将三个服务全部停止：首先停止Rose Monitor Service服务，再停止Rose Cluster Client Service和Rose Cluster Service服务。

如果需要启动RoseHA服务时，先启动Rose Cluster Client Service和Rose Cluster Service服务，再启动Rose Monitor Service。待所有群集服务均启动后，最后再带入相应资源组，确认应用资源组正常启动，并进行基本可用性测试验证。

4.5 怎样更新业务系统、服务器移机？

1、更新应用系统或操作系统的建议步骤

打开主机“RoseHA控制中心”，选中资源组或资源，右键菜单，执行“带出”命令。

更新应用服务的建议步骤：为了方便“更新两台服务器的应用服务”操作，可以保留卷和IP资源“不带出”，只带出应用服务资源；在服务器A上更新应用服务后，停止应用服务，然后将卷和IP资源切换至服务器B，然后在服务器B上更新应用服务。

两台服务器上，分别更新应用服务后，先手工测试更新过的应用服务，确保可以单机正常启停应用服务，并检查确保应用服务的启动类型是“手动”。最后，“带入”相应的应用资源，并进行基本可用性测试验证。

更新操作系统的建议步骤：为了避免更新系统操作影响集群运行，建议“带出”整个资源组。

2、服务器移机的建议步骤

1) 带出所有资源组；

2) 先后关闭所有群集服务器的操作系统，最后关闭磁盘阵列。移动所有群集服务器及磁盘阵列物理硬件到新机房。

3) 检查网络、光纤线缆等物理链路是否完全正常接入，首先启动磁盘阵列，然后启动服务器，确认所有节点之间网络通信、存储访问等均正常。

4) 分别确保可以单机正常启停应用服务。

5) 启动“RoseHA管理控制中心”，选中应用服务，点击鼠标右键菜单，执行“带入”

操作，最后确认应用资源组正常启动，并进行基本可用性测试验证。

4.6 资源配置完成后，怎么修改服务器的公网IP？

1、首先，“带出”资源组。然后，修改服务器的公网IP。

2、启动主机“RoseHA控制中心”，登录群集服务器，选中群集中主机节点，点击菜

单“系统-更新服务器系统信息”。

3、选中另一主机节点，点击菜单“系统-更新服务器系统信息”。

服务器系统信息”和修改“心跳网段”。

4.7 RoseHA中怎样启动/停止资源？

启动资源：在RoseHA中“带入”应用服务资源，RoseHA将在活动主机端启动和监控应用服务资源，应用服务资源包括共享卷、活动IP、应用程序等资源。

停止资源：在RoseHA中“带出”应用服务资源，RoseHA将在主机端停止应用服务资源，应用服务资源包括应用程序、活动IP、共享卷等资源。

4.8 带入或切换卷资源失败的情况分析

1. 检查卷配置里的共享磁盘是否指向实际的共享磁盘。

因为在某些特殊的硬件环境下，重启操作系统之后，共享磁盘的磁盘号可能会发生改变，从而导致RoseHA卷资源中共享磁盘的配置与实际的共享磁盘不一致。如果出现这个问题，规范磁盘阵列与主机的启动顺序（启动磁盘阵列之后，再启动主机），然后，修改RoseHA 卷资源的配置指向实际的共享磁盘。如果存在共享磁盘的顺序不稳定的情况，建议在RoseHA中设置磁盘号自适应功能。

2. 在实际的应用环境中，如果磁盘阵列不支持硬件锁的功能，请将卷资源中硬件锁功能

windows-Server服务器系统自身安全防护措施

Windows Server系统自身安全防护措施 提示： 为慎重操作，可以先在测试机做关闭测试，最好通过与厂方工程师商定后再设置。 一、关闭服务器不必要端口 利用win2003自带防火墙关闭所有端口，如就留一个端口：80 。（设置有两种方法，一个使用windows自带防火墙设，一个实在TCP/IP属性里设。） 设置方法： 1、在“网络连接”属性里设置windows防火墙。 2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。

二、在服务中关闭不必要的服务 以下服务可以关闭： Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序

Windows服务器安全加固方案

P43页 Windows 2008服务器安全加固方案 来源：中国红盟时间：2010-1-27 9:09:00 点击：201 今日评论：0 条Windows 2008服务器安全加固方案(一）因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web 服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器，是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固： 1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。 2. IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性服务器安全加固，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。 3. 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固： 1.目录权限的配置： 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

Windows服务器安全加固

服务器安全加固(以Windows Server 2008为示例,Windows server 2003与Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1）为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字与特殊字符组成等复杂度要求。(请回答) 2）禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图) 3）设置Windows用户密码策略,可通过“控制面板－管理工具－本地安全策略”中“帐 序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原得加密来储存密码已禁用 4）设置Windows系统非法登录锁定次数,可通过“控制面板－管理工具－本地安全策略”中“帐户策略”下得“帐户锁定策略”进行安全加固,参数设置参考如下;(请截 序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟 2、服务器安全事件审核安全加固。(请截图) 1）设置Windows服务器安全事件审核策略,可通过“控制面板－管理工具－本地安全策略”中“本地策略”下得“审核策略”进行安全设置,将其下得所有审核都设置成

“成功”、“失败”(默认为“无审核”)。 2）设置日志系统得安全加固,打开“控制面板－管理工具－事件查瞧器”中,在“Windows 日志”中选择一个日志类型,右击鼠标,设置“属性”得存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)

3、关闭服务器共享资源,可通过“控制面板－管理工具－计算机管理”中,选择“共 享文件夹－共享”查瞧系统共享资源,删除不必要得多余共享资源。(请截图) 4、自动锁屏设置 桌面点击右键－属性－屏幕保护程序,设置服务器自动锁屏时间为3分钟(参考)。(请截图)

windows服务器运维操作监控解决方案

Windows服务器 运维操作监控解决方案 杭州奇智信息科技有限公司

目录 客户需求 (3) 运维管理现状 (3) 操作风险分析 (3) 客户需求： (3) 解决方案 (3) 方案设计： (4) 集中管理 (5) 身份管理： (6) 访问控制： (7) 操作审计： (7) 部署方式： (8) 功能特点： (9) 方案特色： (9) 客户收益-人为操作风险最小化 (10)

客户需求 运维管理现状 z关键核心应用（AD域，Exchange等）运行在Windows系统上 z Window服务器数量越来越多 z维护人员采用远程桌面访问方式远程管理Windows Server 操作风险分析 操作不透明： z误操作导致关键应用服务异常甚至宕机 z违规操作导致敏感信息泄露 z恶意操作导致系统上的敏感数据信息被篡改和破坏 操作不可控： z无法有效监管维护人员/代维厂商的操作 z无法有效取证/举证 客户需求： z解决共享administrator帐号导致的维护人员身份不唯一问题 z解决多人同时享有administrator帐号的密码的安全隐患问题 z监控维护人员的操作行为 z对非法操作进行举证 解决方案 在IT运维管理环境中，主要有三个层次组成：人（操作者）、操作 （动作）、设备（操作对象）。 操作作为隐性存在的概念，一直充当着人与设备的桥梁纽带作用。人与设备

通过操作行为建立了主体与客体的关系。操作是影响服务稳定和设备安全的最直接、最根本的因素。 针对客户需求，我们认为必须从操作层入手，紧紧的围绕“操作”这个核心，以集中管理的方式，对身份、权限、审计进行有效管理,帮助用户最小化运维操作风险。 方案设计： 杭州奇智科技的运维操作管理系统（Shterm），通过集中管理的方式，对用户的身份、权限、审计进行管理，让操作变得可视，可控，可管，可追踪，有效提高运维操作的安全性。

系列服务器windows操作系统安装步骤

IBM X系列服务器Windows操作系统安装步骤

引言 本文介绍采用IBM Server Guide光盘引导安装Windows操作系统，使用IBM Server Guide光盘安装会清除硬盘上的分区和数据，安装前请务必向客户说明，确认是否需要备份数据。 一、工具准备 IBM ServerGuide光盘一张， windows操作系统安装光盘一套（以windows2003为例）， IBM ServeRAID Manager 安装光盘一张。 需要注意的是，根据服务器型号不同，所需要的IBM ServerGuide光盘 版本也不同，下面给出两者对应关系，请根据服务器型号选择合适版本。 二、具体安装步骤 1、设置服务器从光驱启动，开机按F1-startup进行设置。 2、用ServerGuide CD光盘启动服务器,光盘启动后，显示如下画面 选择使用本引导盘的语言（注意：此时语言为ServerGuide引导程序语言，与所要安装操作系统无关），出现如下画面，选择English） 3、选择键盘布局以及国家或地区画面，在这里全部选择United States，然后 点击Next 4、出现许可协议界面，阅读许可协议内容，点击I accept继续即可 中文用户可以在Language选项中选择Chinese 阅读中文协议 5、查看概述了解ServerGuide 功能，请在使用前仔细查看相关使用说明，点击Next继续 6、在这里可以选择要安装的操作系统，选择后点击Next 7、列表显示接下来将要做的配置，目前提示要设置日期和时间，点击Next 8、设置正确的日期和时间后点击Next 9、当出现清除硬盘信息界面时，请根据需要选择，如果需要保留已有的阵列信息，请选择Skip this task，但硬盘上的数据和分区仍然会被清除掉，选择clear all hard …会直接清除阵列及硬盘信息，如无特殊要求，我们一般选择第二项clear all hard disk drives and restore servraid to defaults，选择后点击Next继续

2019年Windows服务器安全设置攻略-word范文 (6页)

本文部分内容来自网络整理，本司不为其真实性负责，如有异议或侵权请及时联系，本司将立即删除！ == 本文为word格式，下载后可方便编辑和修改！ == Windows服务器安全设置攻略 前言 其实，在服务器的安全设置方面，我虽然有一些经验，但是还谈不上有研究，所以我写这篇文章的时候心里很不踏实，总害怕说错了会误了别人的事。 本文更侧重于防止ASP漏洞攻击，所以服务器防黑等方面的讲解可能略嫌少了点。 基本的服务器安全设置 安装补丁 安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是201X则确定安装上了SP4，如果是201X，则最好安装上SP1，然后点击开始→WindowsUpdate，安装所有的关键更新。 安装杀毒软件 虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题。我一直在用诺顿201X，据说201X可以杀木马，不过我没试过。还有人用瑞星，瑞星是确定可以杀木马的。更多的人说卡巴司机好，不过我没用过。 不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。 设置端口保护和防火墙、删除默认共享 都是服务器防黑的措施，即使你的服务器上没有IIS，这些安全措施都最好做上。这是阿江的盲区，大概知道屏蔽端口用本地安全策略，不过这方面的东西网上攻略很多，大家可以擞出来看看，晚些时候我或者会复制一些到我的网站上。 权限设置

阿江感觉这是防止ASP漏洞攻击的关键所在，优秀的权限设置可以将危害 减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路，聪 明的朋友应该看完这个就能解决问题了。 权限设置的原理 WINDOWS用户，在WINNT系统中大多数时候把权限按用户（組）来划分。 在【开始→程序→ 管理工具→计算机管理→本地用户和组】管理系统用户 和用户组。 NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后 我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→ 安全】在这里管理NTFS文件（夹）权限。 IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用 户（现在暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP文件的 时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。 权限设置的思路 要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一 个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。 在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控 制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。 设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个 文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。 这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。 我的设置方法 我是先创建一个用户组，以后所有的站点的用户都建在这个組里，然后设 置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在 的文件夹里的权限。 因为比较多，所以我很不想写，其实知道了上面的原理，大多数人都应该 懂了，除非不知道怎么添加系统用户和組，不知道怎么设置文件夹权限，不知 道IIS站点属性在那里。真的有那样的人，你也不要着急，要沉住气慢慢来， 具体的方法其实自己也能摸索出来的，我就是这样。当然，如果我有空，我会 写我的具体设置方法，很傲能还会配上图片。 改名或卸载不安全组件

如何查看Windows服务器运行了多长时间

如何查看Windows服务器运行了多长时间 前言：有时候管理、维护Windows服务器需要定期重启服务器（为什么需要重启，你懂的），但是这个“定期”有时候会受很多因素影响，例如某台服务器忘了重启；某台服务器那个时间段业务繁忙，不能重启；那个时间段你忘了重启服务器.....。诸如此类。当你的Schedule 被打乱了。这个时候，你就需要查看服务器运行了多长时间，下面介绍一下如何查看Wind ows服务器运行时间的方法 方法一：如果这台Windows服务器是数据库服务器，那么可以通过查看SQL SERVER启动时间来间接判断Windows服务器上次启动时间。 这个时间是否准确的前提条件是SQL SERVER服务是自动启动，而且中途没有重启过SQ L SERVER服务。如果Windows服务器是应用服务器，那么没法使用这个方法。 1.1 ：SQL SERVER服务每次启动时，都会重新创建tempdb，所以可以以tempdb 的创建时间来判断SQL Server服务的启动时间 --系统数据库tempdb创建的时间 1:SELECT CREATE_DATE AS StartDateTime 2: 3:FROM sys.databases 4: 5:WHERE NAME='TEMPDB' 1.2：通过查看系统兼容性视图master..sysprocesses获取。会话Id 为1的是SQL S erver启动时创建的。 1:SELECT CONVERT(VARCHAR(30), LOGIN_TIME,120) AS StartD ateTime

2: 3:FROM master..sysprocesses WHERE spid=1 1.3 通过查看DMV sys.dm_os_sys_info获取，这个动态管理视图中的字段sqlser ver_start_time 表示SQL Server 上次启动时的日期和时间 1:SELECT sqlserver_start_time AS StartDateTime 2: 3:FROM sys.dm_os_sys_info 1.4 通过查看DMV sys.dm_exec_requests获取。会话Id 为1的是SQL Server 启动时创建的。它的start_time（请求到达时的时间戳）可以判定SQL Server服务启动的时间。 1:SELECT start_time AS StartDateTime 2:FROM sys.dm_exec_requests WHERE session_id = 1 1.5 : 通过查看sys.traces目录视图。该目录视图包含当前在系统中运行的跟踪 1:SELECT start_time AS StartDateTime 2: 3:FROM sys.traces 4: 5:WHERE is_default=1 方法2：通过systeminfo命令或systeminfo | find "System Boot Time" 命令查看服务器启动时间。

Windows Server系列服务器维护的黄金教程

windows server2008 r2 服务器维护（企业版） 1:系统运行状况检查 1.1:事件日志检查(应用程序/安全性/系统) :每日检查 :发现有错误的日志出现需要检查出原因并排除错误 1.2:共享文件夹检查 :每日检查 :发现有未经允许的共享文件夹,马上删除 1.3:本地用户和组检查 :每日检查 :发现有未经允许的用户和组,马上删除 1.4:磁盘大小和碎片检查 :每日检查 :发现磁盘空间低于警戒值(30%可用),需要清理无用的磁盘文件 :发现磁盘碎片大于警戒值(70%碎片),需要在服务器空闲时间进行碎片整理 1.5:系统服务和应用程序检查 :每日检查 :发现未经允许的系统服务和应用程序的安装，马上删除 1.6:IIS的检查 : 每日检查 :发现有未经允许的web网站运行,马上删除 1.7:进程和应用程序检查 :每日多次检查 :发现有可疑的进程和应用程序，马上关闭并找到运行文件进行删除 1.8:检查cpu使用和内存的占用情况 :每日多次检查 :发现cpu长时间占用过高(90%)检查主要原因,看情况重启服务器 2:数据库状态检查维护 2.1:检查数据库的日常维护的运行结果 :每日检查 :保证数据和日志按要求正确备份,运行失败的重新手工备份且排除出错原因 2:2:检查数据库的事务日志 :每日检查 :当事务日志大于300M时候，需要完整备份日志后对日志进行收缩操作 2.3:检查数据库文件的碎片 :每半月检查 :当数据库的碎片大于警戒值,需要进行碎片整理工作 :方法1

declare @table_idint set @table_id=object_id('Employee') dbccshowcontig(@table_id) 如果扫描密度与平均页面密度小于100%表示有碎片产生，此两项应保持较高的百分比。而逻辑与扇区扫描碎片应尽可能接近于0，一般不应超过10。 dbccdbreindex('database_name.dbo.Employee','',90) 3:web系统检查 3.1:web系统的登陆检查 :每日检查 :确保web系统能正常登陆 3.2:web系统的响应检查 :每日检查 :检查web系统的请求和响应速度,如果响应过慢或者无响应，需要检查原因和排除. 3.3:web系统的文件检查 :每月检查 :检查和备份web系统的程序文件 4:web流量检查 4.1:web流量检查 :每日检查 :确保流量正常，发现流量异常的情况，需要查明原因和解决掉。 特别项 1.“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项，同时用鼠标右键单击该选项，并执行快捷菜单中的“创建软件限制策略”命令;用鼠标双击“强制”组策略项目，打开如图1所示的设置对话框，选中其中的“除本地管理员以外的所有用户”选项，其余参数都保持默认设置，再单击“确定”按钮结束上述设置操作 2.拒绝网络病毒藏于临时文件 组策略编辑命令“gpedit.msc”依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项，同时用鼠标右键单击该选项，并执行快捷菜单中的“新建路径规则”命令，打开如图2所示的设置对话框;单击其中的“浏览”按钮，从弹出的文件选择对话框中，选中并导入Windows Server 2008系统的临时文件夹，同时再将“安全级别”参数设置为“不允许”，最后单击“确定” 3.防止非法PING 字符串命令“gpedit.msc”“计算机配置”节点选项，并从目标节点下面逐一点选“Windows 设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项，再用鼠标选中目标选项下面的“入站规则”项目;接着在对应“入站规则”项目右侧的“操作”列表中，点选“新规则”选项，此时系统屏幕会自动弹出新建入站规则向导对话框，依照向导屏幕的提示，先将“自定义”选项选中，再将“所

【原创】Windows 2008 R2服务器的安全加固

【原创】Windows 2008 R2服务器的安全加固 最近托管了一台2U服务器到机房，安装的是Windows 2008系统，打算 用IIS做web server，因此需要把没用的端口、服务关闭，减小风险。 我发现现在网络上有价值的东西实在是太少了，很多人都是转载来转载 去，学而不思，没有一点营养。还是自己总结总结吧，大概有以下几 步： 1. 如何关掉IPv6？ 这一点国内国外网站上基本上都有了共识，都是按照下面两步来进行。 据说执行之后就剩本地换回路由还没关闭。但关闭之后我发现某些端口 还是同时监听ipv4和ipv6的端口，尤其是135端口，已经把ipv4关闭了， ipv6竟然还开着。匪夷所思啊…… 先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6) 然后再修改注册表： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Paramete 增加一个Dword项，名字：DisabledComponents，值：ffffffff（十六位 的8个f） 重启服务器即可关闭ipv6 2. 如何关闭135端口？ 这个破端口是RPC服务的端口，以前出过很多问题，现在貌似没啥漏洞 了，不过还是心有余悸啊，想关的这样关： 开始->运行->dcomcnfg->组件服务->计算机->我的电脑->属性->默认属 性->关闭“在此计算机上启用分布式COM”->默认协议->移除“面向连接的 TCP/IP” 但是感觉做了以上的操作还能看到135在Listen状态，还可以试试这 样。 在cmd中执行：netsh rpc add 127.0.0.0，这样135端口只监听 127.0.0.1了。 3. 如何关闭445端口？ 445端口是netbios用来在局域网内解析机器名的服务端口，一般服务器

Windows服务器版变个人版

Win 2003 Server改造成Professional 虽然微软把将Windows Server 2003定位于服务器市场，但经过不少资深玩家亲身验证，经过简单的调整，你完全可以把Server变成Professional,让它适合个人用户使用。如果你喜欢Windows XP的美丽，又对它的速度、性能、安全性有些不满意，那么赶快装上Windows Server 2003，跟我一起来对它进行改造吧！安装前的准备 尽管Windows Server 2003已经内置大量硬件驱动程序，但最好还是到驱动之家（[url][/url])或厂商网站寻找硬件的最新驱动程序。 改造Windows Server 2003 Windows Server 2003的安装与Windows XP专业版非常相似，因此就不再赘述，下面就马上进入改造工程： 1.取消“管理您的服务器”窗口 默认情况下，每次系统启动会显示“管理您的服务器”窗口，勾选该窗口左下方的“登录时不要显示此页”，这样以后就不会再有这个窗口出现了。 2.创建新用户 按下WIN+R组合键打开“运行”对话框，输入rundll32 netplwiz.dll,UsersRunDll (或者control userpasswords2)，按在“确定”后即会弹出熟悉的“用户帐号”窗口，接下来你就可以创建新的用户帐号，同时可实现自动登录系统。 如果想实现更多高级用户设置，可在“运行”对话框中输入lusrmgr.msc,回车后打开“本地用户和组”窗口，双击“用户”中的相应用户即可进入属性窗口进行设置。 小提示：

★恼人的Ctrl+Alt+Del提示请彻底走开 尽管已经使用自动登录摆脱了恼人的Ctrl+Alt+Del的提示，但在按下WIN＋L 组合键锁定系统或使用了带密码保护的屏保时，它还是会冒出来，要想根除它，请进入“控制面板→管理工具→本地安全策略”，找到“本地策略→安全选项”，在右侧窗口中双击“交互式登录：不需要按CTRL+ALT+DEL”，将其设置为“已启动”。 ★在“控制面板”中添加“用户和密码” 到[url][/url]下载AddUserPasswordsToCP.reg,双击将其导入注册表，这样“控制面板”中就会出现“用户和密码”项了，管理用户更加方便。 3.禁止关闭事件跟踪程序 在你试图重启或关闭Windows Server 2003时，系统会询问关机理由，真是很烦，现在就来把它取消掉。 第一步：按WIN＋R组合键打开“运行”对话框，输入gpedit.msc，回车后打开“组策略编辑器”； 第二步：选择“本地计算机策略→计算机配置→管理模板→系统”，接着双击右侧窗口的“显示关闭事件跟踪程序”，然后在“设置”选项卡中选中“已禁用”。 4.关闭IE增强的安全配置 当你打开IE后，会弹出如图的提示窗口，如果不对其进行更改，那么将无法对Internet进行浏览和文件下载。所以要点击IE的“工具→Internet→选项→安全”，将“Internet”区域的安全级别滑快由“高”拉动到“中”。 接着进入“控制面板→添加或删除程序→添加/删除Windows组件”，然后取消“Internet Explorer增强的安全配置”，按“确定”即可将其完全卸载。

Windows2012中文标准版服务器版操作系统

windows server 2012中文标准版 支持CPU 最大支持320内存 支持内存最大支持4TB内存 微软的开放许可详细记录了用户的信息，可以通过微软8008203800电话进行查询软件的真伪，同时也可以更好的对用户的软件资产进行管理和维护 微软的开放许可产品为了更好的满足不同用户的实际应用系统，微软的开放许可产品可以等级或降级使用同类产品都属于合法的应用而不侵权。 1.支持网络负载平衡、服务器群集和活动目录服务。高效的同步和复制以及分支机构域控制器中的凭据缓存，使活动目录在广域网 (WAN) 连接上运行得更快更稳定； 2.支持保护网络避免恶意或设计及不良的代码的公共语言运行库，改进的信息服务安全性、公钥基础结构 (PKI) 和 Kerberos，以及对智能卡和生物测定学的支持； 3.提供最新的Web服务器角色和Internet信息服务（IIS）8.0版，并在服务器核心提供了对.NET更强大的支持； 4.支持Hyper-V3.0提供的客户端和服务器虚拟化，以及使用远程桌

面服务的演示虚拟化 5.能够管理任意大小的工作负载，具有动态的可伸缩性以及全面的可用性和可靠性 6.支持VHD方式的虚机启动和部署 7.具备实时迁移功能，在无须额外存储支持的情况下能够在两台运行着Hyper-V的计算机上移动一台虚拟机，而不中断其它任何服务 8.支持DirectAccess； 9.支持BranchCache； 10.支持活动目录的域服务和权限管理服务 11.支持远程桌面服务和虚拟桌面； 12.支持PowerShell命令行管理和基于脚本的自动化管理；.NET 深度集成，使用 XML Web 服务实现了前所未有的软件集成水平，离散的构造块应用程序通过 Internet 相互连接在一起并且连接到其他较大的应用程序上； 13.可以通过 XML Web 服务快速和可靠地构建、承载、部署和使用安全和连接的解决方案； 14. XML Web 服务提供基于行业标准构建的可重用组件，可以从其他应用程序调用功能，与应用程序的开发方式、运行应用程序的操作系统或平台或用于访问应用程序的设备无关； 15. 每套操作系统可在两个CPU授权上部署任意个虚拟服务器，负责进行系统安装，虚拟服务器安装调试。

WINDOWS2021SERVER服务器安全配置WEB安全电脑资料

WindowsxxServer服务器安全配置WEB安全电脑资料 一、先关闭不需要的端口 我比较小心，先关了端口， 当然大家也可以更改远程连接端口方法： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00002683 保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上表的地址，把值改为十进制的输入你想要的端口即可！重启生效！ 还有一点，在xx系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连

接上后无法列出目录和数据传输的问题。所以在xx系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。 做FTP下载的用户看仔细，如果要关闭不必要的端口，在 \system32\drivers\etc\services中有列表，记事本就可以打开的。如果懒的话，最简单的方法是启用WINxx的自身带的网络防火墙，并进行端口的改变。功能还可以！ Inter 连接防火墙可以有效地拦截对Windows xx服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows xx服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows xx构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。 二.关闭不需要的服务打开相应的审核策略 我关闭了以下的服务 Computer Browser 维护网络上计算机的最新列表以及提供这个列表

IBM服务器windows2008操作系统安装步骤

操作系统安装基本要求 关键字： 操作系统介质安装 一、安装前的准备 1、确认安装的服务器的硬件信息，包括机型型号、磁盘接口、系统BIOS、使用硬盘、处理器、内存、网卡。 2、检查主板BIOS到版本，如果供应商需要升级微码，然后再升级，一般新服务器不需要升级微码。 3、需要一张由信息技术部提供的有许可证的Windows 2003 Server光盘，一张由供应商提供的最新的引导盘，一个外接USB的DVD光驱。 4、根据根据内存大小和硬盘大小确定系统C盘的空间设置为内存大小加上32GB 。 5、安装操作系统的系统盘的RAID基本为RAID1。 6、操作系统口令规则提前向信息技术部确认好。 7、其他文件，包括特殊驱动文件和操作系统补丁文件等。 二、操作系统安装 1、将刻录好的引导盘放入光驱，连接到服务器上；等待机器启动后按“F12”

如下图： 2、选择从光驱启动CD/DVE ROM，如下图 3、选择语言为“English”如下图： 4、为默认选择“Next”如下图：

5、选中要安装的操作系统然后“Next”，如下图： 6、设置系统日期和时间，根据安装日期和时间设置，设置好选择“Next”如 下图：

7、这一步我们可以看到磁盘的阵列信息，此时做的是“Raid1”状态为（Good） 说明之前已经做好了；如果阵列没有做这里我们可以选择要做的阵列，如“RAID1”然后选择“Next”等待几分钟;建议安装系统前配置好RAID。这里我们直接选择“Next”如下图： 8、选择“Next”如下图：

9、这一步设置系统盘大小，设置方法为（内存大小+32G）；设置好选择“Next”如下图： 10、正在创建分区等待两分钟如下图： 11、分区创建完成后选择“Next”如下图：

Windows服务器日常维护指南

Windows服务器日常维护指南 目录 1服务器的补丁安装 (1) 2服务器的数据传输 (4) 3服务器如何预防病毒 (4) 4服务器如何保障稳定运行 (4) 5服务器的远程管理 (5) 1服务器的更新安装 Windows自动更新是Windows的一项功能，当适用于您的计算机的重要更新发布时，它会及时提醒您下载和安装。使用自动更新可以在第一时间更新您的操作系统，修复系统漏洞，保护您的计算机安全。 要正常使用自动更新，您需要启用Automatic Update服务，并且Background Intelligent Transfer Service服务也已启用，这两个服务的启动类型均为自动。 现支持的客户端操作系统有Windows XP、Windows 7，服务器端操作系统为Windows Server 2003、Windows 2008 及Office 2003简体中文版等微软产品的自动更新。 我们不推荐用第三方的软件例如360软件来给服务器安装微软的补丁程序。 公司已部署微软的更新服务器，来给微软的产品安装更新程序。如何进行更新安装的方法如下： 1.1 加入域的服务器 1.服务器会检测操作系统是否已安装更新，若有更新，操作系统任务栏的通知区域会 出现图标，如。 2.双击该图标，弹出如下对话框，选择“自定义安装” 3.查看更新列表，默认情况下所有更新都被选择，根据自己的实际情况来安装。对于 Windows Server 2003 安全更新程序则必须全部选中安装。

4.单击“安装”按钮，开始安装过程，安装窗口将最小化，任务栏通知区域弹出消息 框，如下图。 5.安装完毕后，弹出对话框，提示重新启动系统，点“立即重新启动”按钮生效。 1.2 没有加入域的服务器： 1.单击“开始”“运行”，然后输入gpedit.msc回车。 2.在组策略对象编辑器中，依次展开“计算机配置”、“管理模板”、“Windows 组件”， 然后单击“Windows Update”，选择“配置自动更新”。

(完整版)WindowsServer2008R2WEB服务器安全设置指南(四)之禁用不必要的服务和关闭端口

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重，以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务，这样最大程度来提高安全性。 作为web服务器，并不是所有默认服务都需要的，所以像打印、共享服务都可以禁用。当然了，你的系统补丁也需要更新到最新，一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多，而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢，因为我们要防患于未然，万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务，所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有，则禁用

Print Spooler Remote Registry 因为我们使用的是云主机，跟单机又不一样，所以有些服务并不能一概而论，如上面的Server服务。例如天翼云的主机，上海1和内蒙池的主机就不一样，内蒙池的主机需要依赖Server服务，而上海1的不需要依赖此服务，所以上海1的可以禁用，内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性，删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。

web服务器的安全配置(以windows为例)

6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。（具体见本文附件1） ３、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 ４、备份系统 用GHOST备份系统。 ５、安装常用的软件 例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份

修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )

Windows Server服务器日常管理技巧

Windows Server服务器日常管理技巧 作者：中国IT实验室收集整理出处：博客2012-01-14 06:34 高效管理服务器一直离不开有效的服务器管理技巧，尽管你已经掌握了不少这方面的技巧，但服务器还有许许多多的技巧在等着你的总结，等着你的挖掘;这不，下面的一些服务器管理窍门就是笔者在最近的工作中总结出来的，相信有不少是你很少遇到过的! 高效管理服务器一直离不开有效的服务器管理技巧，尽管你已经掌握了不少这方面的技巧，但服务器还有许许多多的技巧在等着你的总结，等着你的挖掘;这不，下面的一些服务器管理窍门就是笔者在最近的工作中总结出来的，相信有不少是你很少遇到过的! 拒绝服务器重新启动 一般情况下，在Windows 2003 Server系统中安装完补丁程序后，系统总会提示你要重新启动一下服务器。可是许多急性子的朋友，他们往往无法容忍Windows 2003 Server服务器“慢吞吞”的启动操作，于是希望打完安全补丁之后服务器不再重新启动的想法就应运而生了。那么是不是有一种合适的方法，的确能让Windows 2003 Server服务器在安装完补丁之后不会重新启动呢?其实，Windows 2003 Server服务器是否会重新启动，跟当前的系统补丁特性有一定的关系;对于那些强制需要系统启动的安全补丁，我们一般是无法让服务器拒绝重新启动的;但对于那些没有强制要求系统启动特性的补丁来说，我们就能采取如下的方法来阻止服务器系统重新启动： 首先在Windows 2003 Server服务器系统桌面中，依次单击“开始”/“运行”命令，在随后打开的系统运行对话框中，输入字符串命令“cmd”，单击“确定”按钮之后，将系统工作模式切换到MS-DOS状态下; 其次在DOS命令行中，通过“cd”命令将当前目录切换到补丁程序所在的目录，然后执行“aaa /?”字符串命令(其中aaa就是当前需要安装的系统补丁名称)，在其后出现的提示界面中，检查一下当前补丁是否带有“-z”参数，要是带有该参数的话，就表明当前补丁在安装完毕后可以不强制要求系统进行重新启动; 接着在DOS命令行中，再输入字符串命令“aaa -z”，单击回车键后，该补丁程序就会自动安装到系统中，并且不会要求服务器系统进行重新启动了。 取消对服务器的限制访问

Windows服务器中毒或被入侵的快速诊断

Windows服务器中毒或被入侵的快速诊断 当业务迁移上云后，会面临更高的安全挑战。特别是对于Windows 服务器，由于攻击门槛低，可能会遭遇病毒或被入侵等安全风险。系统中毒或被入侵后，通常会导致系统报错、负载异常、无法远程、业务不稳定等诸多不可控问题。本文结合阿里云大量相关案例的处理经验，介绍如何快速的诊断和处理该类问题。 一、处理思路 判断系统是否有中毒或被入侵的迹象，是此类问题处理的关键。完整的处理思路如下图所示： 中毒或被入侵问题处理思路

二、快速诊断方法 可以结合如下三种方式进行快速诊断分析，用以判断系统是否有中毒或被入侵迹象。本文不会涉及更多深入的安全排查和诊断方法的讨论。 1.可疑文件诊断分析（4W1H） 可以通过如下4W1H 法来对可疑文件进行快速诊断分析。 注意：操作前，请先设置显示所有文件（包括受保护的系统文件）和显示文件后缀，相应配置方法本文不再详述。 What —文件类型是什么？ 病毒或木马文件一般都为可执行文件。所以，排查时，请重点关注后缀为如下类型的文件： ●exe：Windows可执行文件 ●bat：批处理文件 ●com：DOS可执行文件 ●vbs：Windows脚本 说明：，这只是一种简单的判断方法，因为文件后缀可以随意修改，无法真实反应出文件类型。 Where —文件在哪？ 病毒或入侵者通常会在系统目录生成病毒或木马文件，并设置隐藏属性。诊断时，可依

次到如下目录排查可疑文件（再次提醒，注意显示隐藏文件）： ●C:\ 根目录 ●C:\Windows 目录 ●C:\Windows\System32 目录 ●C:\Windows\Temp 目录 ●C:\Users\<用户名>\AppData\Local\Temp 目录（用户缓存目录） When —文件是什么时候创建的？ 病毒或木马是在系统创建之后修改或生成的。所以，可以通过对比文件的【修改时间】来甄别可疑文件。如下图所示，进入前述系统目录后，点击【修改时间】列，按修改时间进行倒序排序，然后对比正常系统文件的修改时间来甄别可疑文件。 对比文件修改时间来甄别可疑文件